Kişisel Verilerin Korunması Kanunu Madde 7

1. Maddenin Sistematiği ve Genel Açıklama

Bu madde, veri koruma hukukunun en prestijli ve insan odaklı kavramı olan **"Unutulma Hakkı"**nın (Right to be Forgotten / Right to Erasure) ve veri hijyeninin (data hygiene) pozitif hukukumuzdaki en güçlü teminatıdır. Madde, kişisel verilerin ömrünü sınırlar. Hukuka tamamen uygun olarak işlenmiş olsalar dahi, verilerin işlenmesini haklı kılan meşru amaçlar, yasal saklama süreleri veya zamanaşımı süreleri sona erdiğinde; bu verilerin veri sorumlusunun sistemlerinden kalıcı olarak temizlenmesini emreder. Bu temizlik, veri sorumlusuna "resen" (kendiliğinden) hareket etme ödevi yüklediği gibi, ilgili kişiye de dilediği an başvurarak verilerinin silinmesini talep etme hakkı (m. 11) tanır. Yasa koyucu bu yükümlülüğü sadece idari bir görev olarak görmemiş; verileri süresi içinde yok etmeyenler hakkında doğrudan hapis cezası öngören çok sert bir ceza yaptırımı kurmuştur.

2. Maddedeki Kavramların Analizi

• Kişisel Verilerin Silinmesi: Verilerin ilgili kullanıcılar (örn: şirketteki pazarlama uzmanları, ön büro çalışanları) için hiçbir şekilde erişilemez ve tekrar kullanılamaz hale getirilmesidir. Veri sistemde kalabilir ancak üzerine erişim blokajı konulur.
• Kişisel Verilerin Yok Edilmesi: Verilerin dijital veya fiziki olarak, hiç kimse (veri tabanı yöneticisi dahil) tarafından hiçbir şekilde geri getirilemeyecek ve tekrar erişilemeyecek şekilde tamamen imha edilmesidir (örn: sabit disklerin degaussing/manyetik deşarj yöntemiyle silinmesi, fiziksel olarak kırılması veya kağıt evrakların kırpma makinesinde yok edilmesi).
• Anonim Hâle Getirme: Verilerin, başka veritabanlarıyla eşleştirilse dahi hiçbir surette kimliği belirli veya belirlenebilir bir gerçek kişiyle ilişkilendirilemeyecek şekilde geri döndürülemez biçimde karıştırılmasıdır.
• TCK Madde 138 Yollaması ve Ağır Hapis Cezası: KVKK Madde 7, ceza hukuku ile doğrudan entegredir. Türk Ceza Kanunu'nun 138. maddesi uyarınca; kanunların belirlediği sürelerin geçmiş olmasına rağmen kişisel verileri sisteminden silmeyen veya yok etmeyen gerçek kişiler ile şirket yöneticileri hakkında 1 yıldan 2 yıla kadar hapis cezası uygulanır. Bu durum, veri saklamada disiplinsizliğe geçit verilmediğinin en katı kanıtıdır.

3. Sistematik İlişkiler

Madde 7; AB Genel Veri Koruma Tüzüğü'nün (GDPR) 17. maddesi (Right to erasure) ile doğrudan paraleldir. Kanun içinde m. 4 (saklama süresi ilkesi), m. 11 (veri sahibinin hakları), m. 12 (veri güvenliği) ve Türk Ceza Kanunu m. 138 hükümleriyle doğrudan bir yargısal zincir oluşturur.

4. Uygulama: Yargıtay / Bölge Adliye Mahkemesi (BAM) İçtihadı

• TCK 138 uyarınca Mahkumiyet Kararları: Yargıtay ceza daireleri, üyelikten ayrılan veya sözleşmesini fesheden müşterilerin verilerini, yasal saklama/zamanaşımı süreleri bittiği halde (veya ilgili kişinin haklı talebine rağmen) veritabanından silmeyerek saklamaya ve onlara kampanya SMS'leri atmaya devam eden şirketlerin bilgi işlem müdürleri ve şirket yetkilileri hakkında TCK m. 138 uyarınca verilen hapis cezası mahkumiyetlerini istikrarlı olarak onamaktadır.
• Kurul ve Periyodik İmha Denetimleri: Kişisel Verileri Koruma Kurulu, yayımladığı Kişisel Verilerin Silinmesi, Yok Edilmesi veya Anonim Hale Getirilmesi Hakkında Yönetmelik uyarınca; veri sorumlularının en geç 6 aylık periyotlarla "Periyodik İmha" yapmak zorunda olduklarını, bu süreçleri içeren bir "Saklama ve İmha Politikası" hazırlamayan ve imha işlemlerini tutanak altına almayan şirketlere ağır idari para cezaları uygulamaktadır.

5. Pratik Örnek Olaylar

Örnek (Hapis Cezası Riski): Tüketici T, 2015 yılında bir spor salonuna üye olurken kimlik fotokopisini ve sağlık raporunu teslim etmiştir. T, 2017 yılında üyeliğini iptal etmiştir. 2026 yılına gelindiğinde, spor salonunun arşivinde T'nin bu hassas sağlık verileri ve kimlik bilgileri halen kilitli olmayan bir dolapta saklanmaktadır. T, durumdan haberdar olup şikayetçi olduğunda; spor salonu işletmecisi "verileri saklama amacının bittiği, aradan 9 yıl geçtiği ve zamanaşımı sürelerinin dolduğu" gerçeği karşısında verileri yok etmediği için, TCK m. 138 uyarınca 1 yıldan 2 yıla kadar hapis cezası istemiyle Asliye Ceza Mahkemesi'nde yargılanır ve cezaya mahkum edilir.

6. Pratik Uygulama Notları

• İmha Tutanakları Tutun: Veri sorumluları, periyodik veya talep üzerine yaptıkları her bir silme ve yok etme işlemini (örn: hangi veritabanından hangi satırların silindiği, hangi kağıtların imha edildiği) tarih, saat ve imha yöntemi belirterek yazılı bir tutanak altına almalıdır. Bu tutanaklar, olası idari veya cezai denetimlerde kurtarıcı yasal deliller olup, en az 3 yıl süreyle saklanmalıdır.

7. Eleştirel Değerlendirme

• Yedekleme (Back-up) Sistemlerinde Silme İmkansızlığı Çelişkisi: Günümüz modern bilgi işlem mimarilerinde veriler, felaket senaryolarına karşı günlük, haftalık ve aylık olarak teyp kartuşlarına veya bulut yedekleme (backup) sistemlerine blok halinde şifrelenerek yedeklenir. Bu devasa yedekleme dosyalarının içinden tek bir kişinin verisini bulup "cımbızla çeker gibi" silmek teknik ve matematiksel olarak imkansızdır; yedekleme dosyasının bütünlüğünü bozar. Kurulun bu teknik gerçekleri göz ardı ederek "yedekten de anında sileceksin" şeklindeki katı yaklaşımı pratikte uygulanamamaktadır. Hukuk ve teknolojinin uyumu açısından, yedeklerdeki verilerin aktif sisteme geri yüklenmeyecek şekilde bloklanması veya yedeklerin periyodik olarak üzerine yazılması (rotation) süresince silinmiş kabul edilmesi yönünde esnek ve teknik kılavuzların yayımlanması regülasyon gerçekçiliği açısından zorunludur.

Metodolojik Not

Bu akademik yorum ve analiz, unutulma hakkının anayasal ve felsefi temellerini, silme-yok etme-anonimleştirme tekniklerinin hukuki ayrımlarını, TCK m. 138 anlamındaki ağır hapis cezası sorumluluğunu ve yedekleme sistemlerindeki teknik zorlukları 6698 sayılı Kanun'un 7. maddesi ve ceza hukuku dogmatiği çerçevesinde Av. Fethi Güzel'in cezai ve usuli uzmanlığıyla tahlil etmektedir.